Robarle la Wi-Fi al vecino para ahorrarse unos euros al mes puede parecer tentador, pero también puede salir caro, sobre todo si tu vecino resulta ser un hacker, un maestro de la informática.
Cuando el hacker canario Deepak Daswani se dio cuenta de que alguien se había autoinvitado a usar la red de su casa en Tenerife, no se lo pensó dos veces: en vez de reforzar la seguridad de la red y cortar el grifo al intruso, decidió investigar quién era el ladrón y cuáles eran sus intenciones para poner a prueba sus propias habilidades. “Poco a poco fui descubriendo quiénes eran, analizando el tráfico que generaban en mi red”, cuenta a este diario. “Les preparé una trampa”.
Los piratas resultaron ser una pareja de abogados. Ella opositaba para convertirse en juez. Con la información personal que poseía, Daswani podría haber contraatacado y tomado la justicia por su mano. Pero se limitó a escribirles un correo electrónico contándoles que sabía lo que habían hecho y explicándoles los peligros de robar la conexión a otro y acceder, por ejemplo, a redes sociales o a servicios de banca electrónica. Los piratas se disculparon avergonzados. Corría el año 2013.
Poco después del incidente, Daswani se mudaba con su familia a León, su residencia actual, para trabajar para el Instituto Nacional de Ciberseguridad (INCIBE), una entidad pública vinculada al Ministerio de Industria. Había superado las pruebas de hacking que el organismo lanzó ese año para reclutar a 20 profesionales con los que reforzar su plantilla. En INCIBE, el canario realiza ahora investigación en seguridad cibernética y divulga su importancia a través de demostraciones, talleres y conferencias.
Deepak Daswani, ‘hacker’ ético en INCIBE. (D.D.)
Aunque puede quebrar la seguridad de sistemas informáticos, y pudo haber perjudicado a sus vecinos gorrones, Daswani utiliza sus conocimientos para hacer el bien. Es lo que se conoce como un ‘hacker ético’, un experto en ciberseguridad que pone su destreza al servicio de organismos públicos y empresas para descubrir puntos débiles en sus defensas digitales y desarrollar soluciones de seguridad -como software, por ejemplo- para ciudadanos y entidades. (El adjetivo ‘ético’ es una redundancia que se usa para combatir posibles prejuicios, según afirman en el gremio).
En España existe una auténtica generación de hackers (éticos) que comparten una fuerte pasión por la tecnología, la necesidad constante de ponerse a prueba a sí mismos y la voluntad de usar sus poderes para contribuir a la sociedad. Se ha gestado en las aulas de informática, pero especialmente en los hogares, donde los hackers desmenuzan la tecnología que tienen a mano para entenderla y dominarla, dándole incluso usos nuevos para los que no estaba diseñada. Algunos se ven en serios apuros por informar a organizaciones para las que no trabajan de fallos en sus sistemas de seguridad, ya que la ley española pena las intrusiones sin autorización aunque se hagan con buenas intenciones. Otros ayudan a las Fuerzas de Seguridad del Estado en su lucha contra el cibercrimen.
‘Poco a poco fui descubriendo quiénes eran, analizando el tráfico que generaban en mi red. Les preparé una trampa’
Estas son las historias y testimonios de cinco españoles que descubrieron su amor por los ordenadores en la infancia o la adolescencia, crecieron con los grandes cambios tecnológicos de las últimas décadas y hoy día son hackers de profesión, y de corazón.
Cuando el hacker malagueño Chema García era niño, un coche teledirigido ‘entero’ no era igual de divertido para él que para el resto de los chicos de su edad. “Yo lo desarmaba todo para ver cómo funcionaba”, dice. “Esa curiosidad se tiene de pequeño”.
Con 14 años, para evitar que pasase mucho tiempo frente al ordenador, sus padres decidieron quitarle la conexión a internet. El esfuerzo fue en vano. García no tardó en montarse una red local con dos ordenadores que tenía por casa para poder seguir probando e investigando. “Con eso sólo, me tiraba incluso más horas”, bromea.
Chema García. (C.G.)
Ampliar
En el instituto, se jugaba desayunos con una profesora a ver si era capaz de resolver pruebas informáticas. Leía manuales de programación en clase para intentar saciar su ansia de saber. En la universidad, estudiando la carrera de Informática, el hacker perdía la noción del tiempo practicando en su equipo. “Haces la carrera y (además) haces tu ‘carrera’ de seguridad en casa y te tiras cuatro días delante del ordenador, se te hace de día y no te das cuenta”, relata.
García trabaja ahora para la empresa tecnológica SIA coordinando y planificando estrategias de seguridad para clientes, especialmente en el sector bancario. También forma parte del think tank patrio THIBER, dedicado al estudio, análisis y promoción de la ciberseguridad en la comunidad hispanohablante.
Para él, la palabra ‘hacker‘, por desgracia, causa todavía mucho miedo.
Lo que distingue a un hacker de un cibercriminal es la moral y la finalidad con la que cada uno usa sus habilidades de penetración de sistemas informáticos, aseguran en el gremio. García lo explica con un ejemplo: “Las personas que saben artes marciales pueden utilizar lo que saben para competir, pueden utilizar lo que saben para delinquir o para actuar de guardaespaldas”. White hat (sombrero blanco) es la denominación que reciben los hackers éticos, o guardaespaldas, como García en la comunidad informática, frente a los black hat, movidos a menudo por el ego y el dinero, y los gray hat, que operan en un limbo moral.
‘¿Tú quién quieres que te guarde la espalda? ¿Una persona que sabe pelear o una persona que ni siquiera sabe si se va a lastimar la muñeca?’
Los profesionales afirman que los recursos para aprender el oficio de la ciberseguridad actualmente son mucho más numerosos y accesibles, desde másteres a cursos y certificaciones, mientras que antes había que probar por cuenta propia. “Todos queremos llevar el (sombrero) blanco”, dice García. “Pero hasta hace relativamente poco la única manera de llevar el blanco era habiendo llevado el negro”.
Antes del desarrollo exponencial de la ciberseguridad de los últimos años era preciso experimentar en el mundo real ante la carencia de entornos ‘de laboratorio’, indican los hackers. La necesidad creciente de profesionales de la ciberseguridad con experiencia de primera mano hizo que este perfil fuese muy cotizado, por ejemplo, por los cuerpos de seguridad del Estado. “¿Tú quién quieres que te guarde la espalda?”, pregunta García. “¿Una persona que sabe pelear, que tiene templanza, que es emocionalmente estable, o una persona que ni siquiera sabe si se va a lastimar la muñeca?”
Una de las caras más conocidas del hacking en España -e internacionalmente- es Chema Alonso ‘El Maligno’, CEO de la startup ElevenPaths, brazo de ciberseguridad de Telefónica, y autor del blog sobre seguridad en la red Un informático en el lado del mal. El año pasado, pirateó el móvil del presentador Pablo Motos durante un programa de El Hormiguero para demostrar lo fácil que puede ser robar fotos personales alojadas en la nube mediante una suplantación de identidad y concienciar así a los usuarios.
Pese a su apodo, Alonso es un reputado hacker ético que capitanea un equipo de más de 100 informáticos, desarrollando productos de seguridad para empresas y particulares, como la aplicación gratuita Latch, que permite echar un pestillo extra a cuentas y servicios en línea, tales como la banca personal, por ejemplo.
Alonso descubrió su pasión por los ordenadores siendo un joven adolescente, cuando vio la película de ciencia ficción Tron, donde un hacker es abducido al mundo digital para participar en una lucha de gladiadores. “Con 12 doce años yo lo que quería era programar”, cuenta. “Empecé a programar en BASIC en una academia de barrio donde ponía que la informática iba a ser el futuro, y me enamoré”.
Tras pasar su adolescencia programando, entró en la universidad para convertirse en informático. Pero no fue hasta los 24 años aproximadamente cuando Alonso dio el giro hacia la ciberseguridad al participar en el reto de hacking ‘Boinas Negras’ de Hispasec, que consistía en 10 pruebas de autenticación.
Hackers con principios
Hacia el final de los 90, Alonso decidió montar su propia empresa, Informática 64, especializada en auditorías de seguridad y de la que emergieron también algunas tecnologías como la famosa FOCA (Fingerprinting Organizations with Collected Archives), que encuentra metadatos e información oculta en documentos. En 2013, Informática 64 y su plantilla pasaron a integrar Telefónica bajo la marca ElevenPaths. “No teníamos la capacidad de inversión suficiente para poder tener ingenieros desarrollando productos a largo plazo”, dice con respecto a Informática 64. “Ahora en ElevenPaths es totalmente distinto”.
Alonso, que ha participado en conferencias de hacking como la prestigiosa DEFCON, defiende el papel de los hackers en la sociedad, mejorando la ciberseguridad de las organizaciones en un contexto de crecientes amenazas por parte del cibercrimen. “Yo digo siempre que los hackers han ayudado a la mejora de la sociedad reportando a los fabricantes de software y a las compañías los fallos de seguridad que tienen, haciendo que los sistemas sean un poco más seguros cada vez”, afirma.
‘Empecé a programar en BASIC en una academia de barrio donde ponía que la informática iba a ser el futuro, y me enamoré’
Asegura que la visión que se tiene de los hackers mejora progresivamente. “Me reconforta”, dice. Sin embargo, opina como otros en la profesión que todavía hay entidades a las que no les gusta que se les reporten vulnerabilidades de forma voluntaria, o sea, que se le comuniquen fallos en el sistema sin haber concertado una auditoría.
El madrileño Pablo González es uno de los hackers que pasaron con Chema Alonso de Informática 64 a ElevenPaths. En su trabajo, González supervisa los diferentes proyectos de desarrollo de productos que se llevan a cabo en ElevenPaths, asegurándose de que todos siguen la metodología interna de la empresa.
Con apenas cuatro o cinco años, González empezó a jugar con el ordenador de su hermano mayor. “Mi madre siempre le decía ‘te lo va a romper, te va a romper el ordenador’”, relata. “Y él le decía ‘no, si lo sabe manejar mejor que yo’”. En el instituto, conoció el mundo del hacking. En las clases de ofimática, González se aburría y aprendió a coger telemáticamente las prácticas a sus compañeros.
Pablo González, gestor de proyectos en ElevenPaths. (P.G.)
Después llegó la universidad, una etapa que González valora mucho por la base técnica sólida que le proporcionó además de ayudarle a concretar su código ético. Sin embargo, considera que pasar por las aulas no es obligatorio para convertirse en hacker, ya que la curiosidad es la condición necesaria. “He conocido a muchísimos hackers que simplemente tienen sus inquietudes, son autodidactas algunos, pero tienen la capacidad de aprender por sí solos”, dice. “Ese es realmente el valor que tienen”.
Gónzalez, igual que muchos otros, no se autodenomina hacker, porque piensa que es un reconocimiento que tiene que venir de otros. “Significa por un lado, para mí, libertad en mi pensamiento, inquietud, curiosidad y significa reto también”, dice acerca del hacking.
‘He conocido a muchísimos hackers que simplemente tienen sus inquietudes, son autodidactas algunos, pero tienen la capacidad de aprender por sí solos’
González participó en abril en el congreso de seguridad Qurtuba, en Córdoba, organizado por la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket), que preside Miguel A. Arroyo, el siguiente protagonista de este artículo.
Miguel Ángel Arroyo ha conseguido algo inédito: juntar a hackers, Fuerzas de Seguridad del Estado y abogados en una sola organización, la ANPhacket. “Nos hicimos amigos entre todos”, afirma.
La organización nació el año pasado a raíz del fenómeno de las Hack&Beers en Córdoba, reuniones para hablar de ciberseguridad entre cerveza y cerveza que se han extendido por la geografía española a lugares como Madrid y Valencia. Al poco de empezar, Policías y abogados especializados en internet comenzaron a acudir a las charlas, también promovidas por Arroyo. “Dijimos, ‘oye mira, podíamos crear algo conjunto donde cada uno, desde su especialidad, aportara experiencia’”, dice explicando el origen de la asociación.
Miguel A. Arroyo, fundador de la ANPhacket. (M.A.)
En esta simbiosis, los hackers reciben consejo acerca de cómo reportar vulnerabilidades que encuentran en la red para convivir con la ley, mientras que los diferentes cuerpos de seguridad, como la Policía o la Guardia Civil, acuden a ellos con dudas técnicas que surgen en sus investigaciones contra el cibercrimen. “Nosotros podemos aportar, desde nuestro punto de vista técnico, conocimiento de cómo ellos pueden extraer un tipo de evidencia cuando estén realizando algún análisis forense”, ilustra Arroyo.
Arroyo es responsable de negocio de ciberseguridad en la empresa SVT Cloud Services, con base en Lleida, y está estudiando la carrera de Informática. Su periplo con los ordenadores comenzó ya de joven y llegó a montar su propia empresa de cortafuegos antes de formar parte del equipo de SVT.
‘Nosotros podemos aportar conocimiento de cómo ellos pueden extraer un tipo de evidencia cuando estén realizando algún análisis forense’
Respecto a la situación del colectivo hacker en España, considera que los riesgos de informar a una empresa de la que no se forma parte de fallos de seguridad son muy grandes y que este desamparo evita que haya una sensación fuerte de comunidad hacker a lo largo y ancho del territorio. “La ley nos ve como si fuéramos ciberdelicuentes; muchos de ellos no quieren dar siquiera la cara”, afirma.
Por su parte, Deepak Daswani, el hacker de INCIBE al que sus vecinos robaban la Wi-Fi, asegura que él no podría ser otra cosa. “A mí me fascina la tecnología y la posibilidad de hacer algo con la tecnología para lo que no fue concebida.” afirma.
Su afición por la tecnología surgió, como en los otros casos, cuando era pequeño y trasteaba con todo lo que había por su casa. Hoy, Daswani traspasa su interés a su hija, que con tan solo dos años le echó una mano hackeando una aplicación del personaje animado Pocoyó, para después poder reportar los errores a la empresa.
Su profesión, casi un modo de vida, requiere de gran dedicación, afirma. «En este mundo no existe la magia, aunque siempre hay una componente de misticismo al hacker. Pero lo que sí hay son muchísimas horas de lectura, de asimiliación de conceptos, de prueba y error, de experimentación», sentencia.